**GIỚI THIỆU GIAO THỨC ARP
**Mỗi thiết bị trong hệ thống mạng của chúng ta có ít nhất hai địa chỉ. Một địa chỉ là **Media Access Control ( MAC ) và một địa chỉInternet Protocol ( IP ). Địa chỉ MAC là địa chỉ của card mạng gắn vào bên trong thiết bị, nó là duy nhất và không hề thay đổi. Địa chỉ IP có thể thay đổi theo người sử dụng tùy vào môi trường mạng. ARP là một trong những giao thức của IP, chức năng của nó dùng để định vị một host trong một segment mạng bằng cách phân giải địa chỉ IP ra địa chỉ MAC. ARP thực hiện điều đó thông qua một tiến trình broadcast gói tin đến tất cả các host trong mạng, gói tin đó chứa địa chỉ IP của host cần giao tiếp. Các host trong mạng đều nhận được gói tin đó và chỉ duy nhất host nào có địa chỉ IP trùng với địa chỉ IP trong gói tin mới trả lời lại, còn lại sẽ tự động drop gói tin.
ARP là một giao thức hết sức đơn giản, nó đơn thuần có 4 loại message cơ bản sau:
- An ARP Request: máy tính A sẽ hỏi toàn mạng : " ai có địa chỉ IP này? "
- An ARP Reply: máy tính B trả lời máy tính A : "tôi có IP đó, địa chỉ MAC của tôi là..."
- An Reverse ARP Request: máy tính A sẽ hỏi toàn mạng : " ai có địa chỉ MAC này? "
- An Reverse ARP Reply: máy tính B trả lời máy tính A: " tôi có MAC đó, địa chỉ IP của tôi là..."
Host A gửi một ARP Request và nhận được một ARP Reply từ một host B có thực trong mạng. sau khi tiến trình này hoàn tất, host Ahost B sẽ có MAC như thế nào. Tiếp theo, host A sẽ lưu lại sự hiểu biết đó lên bộ nhớ của mình gọi là ARP table. ARP table giúphost A không phải thực hiện ARP Request đến host B một lần nữa. đã biết được IP của
MÔ TẢ QUÁ TRÌNH ARP REQUEST VÀ ARP REPLY
-
Trong mạng LAN hiện nay có 4 host: host A**, host B, host C, host D.
-
Host A muốn giao tiếp với host C, đầu tiên sẽ broadcast gói tin ARP Requset.
-
Host C nhận thấy đúng IP của mình liền trả lời MAC của mình thông qua gói tin ARP Reply, các host còn lại sẽ drop gói ARP Request.
-
Host A nhận được địa chỉ MAC của host C và ghi nhớ vào ARP table.
**NGUYÊN LÝ TẤN CÔNG
**
Giao thức ARP là rất cần thiết và quan trọng trong hệ thống mạng của chúng ta, tuy nhiên nó lại không đề cập đến vấn đề xác thực nào cả. Khi một host nhận được gói tin **ARP Reply, nó hoàn toàn tin tưởng và mặc nhiên sử dụng thông tin đó để sử dụng sau này mà không cần biết thông tin đó có phải trả lời từ một host mà mình mong muốn hay không. ARP không có cơ chế nào để kiểm tra việc đó cả và trên thực tế một host có thể chấp nhận gói ARP Reply mà trước đó không cần phải gửi gói tin ARP Request. Lợi dụng điều này, hacker có thể triển khai các phương thức tấn công như: Man In The Middle, Denial of Service, MAC Flooding
MAN IN THE MIDDLE
Giả sử hacker muốn theo dõi host A gởi thông tin gì cho host B. Đầu tiên, hacker sẽ gởi gói ARP Reply đến host A với nội dung là địa chỉ MAC của hacker và địa chỉ IP của hostB.
Tiếp theo, hacker sẽ gửi gói ARP Reply tới host B với nội dung là MAC của máy hacker và IP của host A. Như vậy, cả hai host A vàhost B đều tiếp nhận gói ARP Reply đó và lưu vào trong ARP table của mình. Đến lúc này, khi host A muốn gửi thông tin đến host B, nó liền tra vào ARP table thấy đã có sẵn thông tin về địa chỉ MAC của host B nênsẽ lấy thông tin đó ra sử dụng, nhưng thực chất địa chỉ MAC đó là của hacker. Đồng thời máy tính của hacker sẽ mở chức năng gọi là IP Forwading giúp chuyển tải nội dung mà host Agửi qua host B. Host A và host B giao tiếp bình thường và không có cảm giác bị qua máy trung gian là máy của hacker.
Trong trường hợp khác, hacker sẽ nghe lén thông tin từ máy bạn đến Gateway. Như vậy mọi hành động ra Internet của bạn đều bị hacker ghi lại hết, dẫn đến việc mất mát các thông tin nhạy cảm.
DENIAL OF SERVICE
Cũng vận dụng kỹ thuật trên, hacker tiến hành tấn công bằng cách gởi gói ARP Reply **đến toàn bộ các host trong mạng với nội dung mang theo là địa chỉ IP của Gateway và địa chỉ MAC không hề tồn tại. Như vậy các host trong mạng tin tưởng rằng mình đã biết được MAC của **Gateway **và khi gửi thông tin đến Gateway, kết quả là gửi đến một nơi hoàn toàn không tồn tại. Đó là điều hacker mong muốn, toàn bộ các host trong mạng đều không thể đi ra Internet được.
MAC FLOODING
Cách tấn công này cũng dùng kỹ thuật ARP Poisoning mà đối tượng nhắm đến là Switch. Hacker sẽ gửi những gói ARP Reply giả tạo với số lượng khổng lồ nhằm làm Switch xử lý không kịp và trở nên quá tải. Khi đó,** Switch** sẽ không đủ sức thể hiện bản chất Layer2của mình nữa mà broadcast gói tin ra toàn bộ các port của mình. Hacker dễ dàng bắt được toàn bộ thông tin trong mạng của bạn.
**CÁCH PHÒNG THỦ
ARP Poisoning là một kiểu tấn công dạng local, nghĩa là hacker thực hiện tấn công từ bên trong mạng của bạn. Hậu quả của cách tấn công này là rất lớn, những người quản trị mạng cần nắm bắt rõ về kỹ thuật tấn công này. Sau đây là một số kỹ thuật giúp phòng chống tấn công kiểu ARP Poisoning.
-
Đối với một mạng nhỏ: **
Ta có thể sử dụng địa chỉ IP tĩnh và **ARP table tĩnh, khi đó, bạn sẽ liệt kê bằng tay IP nào đi với MAC nào. Trong Windows có thể sử dụng câu lệnh *ipconfig /all để xem IP và MAC, dùng câu lệnh arp -s để thêm vào ARP table. Khi mà ép tĩnh như vậy sẽ ngăn chặn hacker gởi các gói ARP Reply giả tạo đến máy của mình vì khi sử dụng ARP table tĩnh thì nó luôn luôn không thay đổi. Chú ý rằng cách thức này chỉ áp dụng được trong môi trường mạng với quy mô nhỏ, nếu mạng lớn hơn là không thể vì chúng ta phải thêm vào ARP table bằng tay với số lượng quá nhiều. -
Đối với một mạng lớn:**
Khi quản trị trong một mạng quy mô lớn, ta có thể sử dụng chức năng **Port security. Khi mở chức năng Port security lên các port của Switch, ta có thể quy định port đó chỉ chấp nhận một địa chỉ MAC. Như vậy sẽ ngăn chặn việc thay đổi địa chỉ MAC trên máy hacker.
Ngoài ra cũng có thể sử dụng các công cụ, ví dụ như ArpWatch. Nó sẽ phát hiện và báo cáo cho bạn các thông tin liên quan đến ARP đang diễn ra trong mạng. Nhờ đó, nếu có hiện tượng tấn công bằng ARP Poisoning thì bạn có thể giải quyết kịp thời.
*****Sau đây tôi sẽ nói 2 cách để thực hiện cuộc tấn công này từ máy tính của bạn.
Cách đơn giản nhất là sử dụng phần mềm NetCut v2.
Sau khi cài đặt và chạy chương trình, cách sử dụng cũng rất đơn giản, bạn chỉ cần chọn 1 hoặc nhiều máy tính và ấn Cut Off, sau một vài giây các máy tính đó sẽ bị mất mạng không truy cập Internet được, khi muốn khôi phục mạng lại bạn chọn máy tính và ấn Resume.
Chú ý là nếu bạn tích chọn Protected My Computer thì máy tính của bạn sẽ không bị ảnh hưởng bởi cuộc tấn công này.
Cách thứ 2 là sử dụng bộ công cụ WinPcap4 và ArpSpoof .
Bạn hãy cài phần mềm WinPcap4, sau đó copy 2 file arpspoof.exe và Libnet.dll trong thư mục arpspoof vào ổ C:\ trên máy tính bạn để có thể sử dụng ArpSpoof.
Thực hiện như sau:
Bạn mở CMD (Start/Run gõ cmd) rồi chuyển thư mục làm việc về ổ C:\ bằng cách gõ cd
Trước hết bạn cần biết được địa chỉ IP của Gateway, bạn hãy gõ vào ipconfig, Enter là bạn sẽ thấy IP của chính máy mình và của Gateway, thường sẽ là 192.168.1.1
Tiếp theo là tấn công máy tính nạn nhân, bạn gõ tiếp lệnh arpspoof -t [ip Gateway] [ip máy nạn nhân]
ví dụ : arpspoof -t 192.168.1.1 192.168.1.12
rồi gõ tiếp 2 và Enter, vậy là cuộc tấn công sử dụng arpspoof bắt đầu rồi đó, bạn cứ để cửa sổ CMD để chương trình chạy như vậy, khi đó nạn nhân sẽ mất mạng Internet. Để tăng tính hiệu quả bạn có thể mở nhiều cửa sổ CMD và chạy lệnh như vậy.
Khi muốn ngừng cuộc tấn công, bạn có thể mở lại cửa sổ CMD đang chạy và ấn Ctrl + C hoặc đóng hẳn cửa sổ CMD đó đi.
Một vài phút sau khi ngừng tấn công, nạn nhân sẽ lại truy cập Internet được.
Chú ý : với cả 2 cách này, có thể sau khi đã ngừng tấn công một lúc sau nạn nhân vẫn chưa vào Internet được, khi đó nạn nhân cần vào My Network Places rồi Disable và lại Enable lại kết nối (thường là Local Area Connection) thì mới có thể truy cập Internet lại.
- Trên đây là cách tấn công, vậy chúng ta có thể làm gì để phòng chống cuộc tấn công này và biết được máy tính nào đã thực hiện cuộc tấn công.
Trước tiên hãy chú ý là để phòng chống cuộc tấn công này thì bạn phải bắt đầu thực hiện từ trước khi bị tấn công hoặc từ ngay khi mới mở máy tính lên (có thể là bằng cách tạo file chạy khi khởi động máy tính).
Bước 1:
Bạn vào CMD và gõ lệnh sau để lấy về toàn bộ địa chỉ IP và MAC của mạng LAN để lưu trữ lại
for /l %x in (1,1,12) do ping 192.168.1.%x -n 1
Tiếp theo là lệnh
arp -a
Bạn sẽ thấy hiển thị kết quả tương tự như sau:
Interface: 192.168.1.3 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-27-19-f9-1c-e2 dynamic
192.168.1.4 00-24-1d-5f-cc-2c dynamic
192.168.1.12 00-0b-6a-8c-2c-77 dynamic
Bạn hãy chú ý đến địa chỉ MAC (Physical Address) của Gateway, vì nó thường sẽ bị thay đổi khi bị tấn công, còn bình thường địa chỉ MAC của tất cả các máy đều cố định.
Bước 2:
Bạn copy phần thông tin phía dưới dòng Internet Address rồi mở Notepad, paste vào, rồi Save as thành 1 file .bat, ví dụ Test.bat, bạn chú ý chọn All Files ở chỗ Save as Type
Nội dung file bat có dạng sau :
arp -d *
arp -s 192.168.1.1 00-27-19-f9-1c-e2
arp -s 192.168.1.4 00-24-1d-5f-cc-2c
arp -s 192.168.1.12 00-0b-6a-8c-2c-77
ping google.com -n 2
pause
Có thể những bạn chưa biết sẽ thắc mắc là làm thế nào để copy trong CMD, bạn làm như sau:
Phải chuột ở giữa cửa sổ CMD chọn Mark, bạn bôi đen những dòng cần copy, rồi ấn Enter, vậy là copy được rồi đó.
Chú ý : bạn có thể tạo file bat như trên để lưu giữ chạy cho những lần sau, hoặc có thể ghi lại địa chỉ IP và MAC của Gateway ra ngoài để sử dụng sau khi bị tấn công
Tất cả trên đây là công đoạn chuẩn bị trước phòng ngừa có thể bị tấn công.
Sau khi phát hiện thấy mình đang bị tấn công rồi, bạn làm như sau
Cách 1 : kích đúp chuột chạy luôn cái file .bat mà bạn đã tạo ra ở trên
Cách 2 : mở CMD và gõ lệnh
Với win XP
arp -s [ip Gateway] [MAC Gateway], vi du : arp -s 192.168.1.1 00-27-19-f9-1c-e2
Với Win 7
netsh -c "interface ipv4" set neighbors "tên card mạng" "IP gateway" "MAC gateway"
vi du :
netsh -c "interface ipv4" set neighbors "Local Area Connection" "192.168.1.1" "00-27-19-f9-1c-e2"
Vậy là xong, bạn lại có thể truy cập Internet như bình thường.
Nếu vẫn chưa được bạn hãy thử vào My Network Places rồi Disable và lại Enable lại kết nối (thường là Local Area Connection) nhé.
Bước 3:
Giờ tôi sẽ nói cho các bạn biết làm thế nào để chúng ta biết đang bị tấn công ARP spoofing khi bị mất mạng và cách phát hiện ra máy tính thực hiện cuộc tấn công đó nhé.
Cách 1: Sử dụng phần mềm XArp 2.0.
Bạn chạy chương trình XArp 2.0 và sẽ nhìn thấy một số dòng màu đỏ, trong đó có IP Gateway, máy tấn công và các máy nạn nhân.
Bạn hãy loại ra IP Gateway và các IP máy nạn nhân bị mất mạng, còn lại chính là IP của máy tính tấn công đó (máy này không bị mất mạng).
Nếu chú ý hơn vào XArp 2.0, bạn kéo ra sau cùng sẽ thấy cột How Often seen, bạn sẽ thấy số dữ liệu trao đổi giữa Gateway và các máy nạn nhân tăng lên tương ứng nhau, còn máy tấn công thì khác hẳn.
Cách 2: bạn ping đến từng máy trong mạng LAN xem máy nào kết nối chập chờn, lúc được lúc không thì đó chính là máy tấn công ARP spoofing bằng NetCut hay ArpSpoof. Tất nhiên cách này thủ công và mất nhiều thời gian hơn.
Ví dụ bạn phát hiện ra máy tấn công là 192.168.1.12
Bước 4: Hãy trừng phạt kẻ tấn công này
Sau khi đã lấy lại được kết nối Internet, bạn hãy sử dụng lại chính arpspoof để trừng phạt kẻ tấn công này, cách làm tương tự như cách tấn công thứ 2 đã nói ở trên. Bạn vào CMD và gõ lệnh
arpspoof -t 192.168.1.1 192.168.1.12
rồi chọn 2, Enter
với 192.168.1.1 là IP Gateway và 192.168.1.12 là IP máy tấn công vừa phát hiện ra ở trên.
- Ngoài cách phòng chống bị tấn công ở trên, còn một cách nữa là bạn sử dụng chính phần mềm NetCut và tích chọn Protected My Computer hoặc dùng phần mềm Anti Netcut v2
DOWNLOAD tất cả công cụ và phần mềm nói trên ở đây:
NetCut2_AntiNetCut2_XArp2_WinPcap4_ArpSpoof_tuoitr ethanhhoa.com.rar
pass tải về : T3H
theo nghethuatit.com
thiết kế kiến trúc || thiet ke kien truc || công ty xây dựng || công ty kiến trúc || cong ty xay dung || cong ty kien truc
**